Quale potrebbe essere lo scopo degli standard ISO 27000?

2

Se una società desidera certificare contro alcuni standard della serie ISO 27000 (diciamo ISO 27001 e ISO 27005), che cosa potrebbe essere certificata? Voglio dire, sono i processi IT in generale nell'organizzazione nel suo insieme? O è più probabile che solo uno / più sistemi utilizzati in quella azienda siano / siano certificati? O dipende da uno standard particolare (diciamo che sono interessato a quelli sopra)?

Se una società ha scelto uno standard particolare, può essere scomposto in qualche modo in modo che solo una parte dello standard sia certificata?

    
posta ZygD 22.03.2015 - 23:20
fonte

2 risposte

3

Della gamma di documenti ISO 27000, solo 27001 è uno standard certificabile. Gli altri nella gamma sono documenti di orientamento e di consulenza.

Il primo passo dell'implementazione ISO 27001 sta definendo l'ambito. Secondo la mia esperienza, sarebbe inusuale che i "processi IT" fossero uno scopo, in genere definito per area di business. Quindi, ad esempio, la parte Operazioni dell'azienda (escluse le unità aziendali di supporto, come le risorse umane).

Non puoi essere certificato per parte della ISO 27001. È tutto o niente.

    
risposta data 23.03.2015 - 17:06
fonte
1

La serie ISO 2700X riguarda la certificazione della gestione della sicurezza di un'azienda. A proposito, sei certificato 27001.

L'ambito deve essere definito dall'azienda. Per fare ciò, si applicano i requisiti della norma (capitoli da 4 a 8) senza eccezioni.

Il Capitolo 4 ruota attorno al Deming circle (PDCA) e definisce l'impostazione, l'implementazione e l'utilizzo di ISMS, il controllo, la revisione e il miglioramento.

Il capitolo 5 riguarda la responsabilità di gestione, il capitolo 6 con audit interni, il capitolo 7 con revisione e il capitolo 8 con azioni correttive e preventive.

La definizione dell'ambito è guidata dal capitolo 4.2.1 ae 4.2.1 b di ISO27001. È necessario esaminare i molti aspetti del perimetro organizzativo, del perimetro del sistema di informazione e del perimetro fisico.

Di solito la norma fornisce linee guida, non esiste una definizione precisa di ciò che deve essere nello scope e cosa no. È inoltre possibile fare riferimento a ISO27002 che offre buone pratiche.

    
risposta data 16.04.2015 - 15:06
fonte

Leggi altre domande sui tag